使用IAT表注入模块到进程中 样例

最新推荐文章于 2024-11-13 13:11:21 发布
原创 最新推荐文章于 2024-11-13 13:11:21 发布 · 5.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种通过修改PE文件的导入地址表(IAT)来实现模块注入的技术。在进程启动前,利用CREATE_SUSPENDED标志挂起进程,然后构造新的导入表,将目标DLL插入到系统模块的导入表中。通过这种方式,当系统遍历导入表时,会自动加载并执行注入的DLL。文章提供了详细的步骤和代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        模块注入到进程的方法有很多,想一一写例子,学习一下,也练习一下!

        首先先从IAT表注入开始吧!

        如果了解PE文件的格式的话,原理很简单。当一个模块被系统加载起来后,会遍历模块的导入表,将静态导入的函数地址填充到导入表中,以便进程执行起来后,调用到该模块时,能够使用导入函数。要获取导入函数地址,首先要将导出该函数的模块加载起来。

        那方法来了,我们是否可以在进程启动时,在必然被加载的模块(比如exe模块,ntdll.dll,kernel32.dll等)导入表被系统遍历之前(注意了,一定是导入表被遍历之前。),将导入表修改一下,添加进我们的模块,并且将相应的IAT的数据添加进来。这样,当系统遍历到该模块的导入表时,遍历到我们自己的模块的导入表项,它就会将我们的模块加载起来,并且将模块导出函数的地址填到我们自己组织的导入表函数项中。

        如下是PE文件中导入表的结构:

        

        首先按照上述的结构,为我们的DLL准备一个导入表(我们以修改Test.exe的导入表,注入Dll.dll模块为例):        

typedef struct _IMAGE_
最低0.47元/天 解锁文章

200万优质内容无限畅学
内存注入IAT Hook和Inline Hook综合程序
enjoy5512的博客
06-02 8501
内存注入综合程序 1) 进程获取 2) IAT项获取 3) IAT Hook 4) Inline Hook
IAT 内核注入
09-16
注册模块加载回调,在进程加载模块时,修改iat,加入需要注入的Dll,支持x86 (Winxp Win7),缺点,对于托管代码的进程如.net形式程序,不起作用,但一般win32程序没有任何问题
IAT注入
商少
04-08 1775
IAT 注入 的主要思路就是在PE 中增加一个节,然后将导入拷贝到当前的节中,在导入后面增加一个新的导入项,并将导入重定向到当前的中。 一般情况下,我们的节头到段的真正的开始位置是有一定的空闲区域的。 下图为我们的示程序SimpleEXE.exe的节头,可以看出来,我们的第一个段的起始文件偏移为0x400 虽然IMAGE_OPTIONAL_HEADER32. SizeOfHea
C/C++ 手工实现IAT导入注入劫持
热门推荐
优快云
09-20 1万+
DLL注入有多种方式,今天介绍的这一种注入方式是通过修改导入,增加一项导入DLL以及导入函数,我们知道当程序在被运行起来之前,其导入中的导入DLL与导入函数会被递归读取加载到目标空间中,我们向导入增加导入函数同可以实现动态加载,本次实验用到的工具依然是上次编写的PE结构解析器。
IAT 注入ImportInject(dll)
weixin_34001430的博客
10-20 429
https://github.com/haidragon/MagicWall其它相似案https://github.com/haidragon/Minesweeper_Injections原理:PE文件中的每一个导入都代一个库(dll),所以你添加一个导入时,当你调用函数时就会去加载相应的DLL而达到注入。写法一: // INTInject.cpp : 定义控制台应用程序的入口点。 //...
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
IAT注入模块
07-30
对应于文章的IAT注入模块的示,自己写的子,直接可以运行。
Dll注入:修改PE文件 IAT注入
aijuzhou1959的博客
08-26 261
PE原理就不阐述了, 这个注入是PE感染的一种,通过添加一个新节注入,会改变PE文件的大小,将原有的导入复制到新节中,并添加自己的导入描述符,最后将数据目录项中指向的导入的入口指向新节。 步骤: 1.添加一个新节;映射PE文件,判断是否可以加一个新节,找到节的尾部,矫正偏移,对齐RVA 填充新节PIMAGE_SECTION_HEADER,修改IMAGE_NT_HEADERS,...
获取当前进程IAT
小驹的专栏
06-14 1494
#include #include int main(int argc, char* argv[]) { HMODULE hModule = ::GetModuleHandleA(NULL); IMAGE_DOS_HEADER* pDosHeader = (IMAGE_DOS_HEADER*)hModule; IMAGE_OPTIONAL_HEADER* pOpNtHeader = (
IAT HOOK 代码注入非DLL
Lassewang的成长历程
12-20 1408
Iat_Hook.h //头文件 #include #include #include #include #include #include #include "Winternl.h" #pragma comment(lib, "imagehlp") //类型声明 typedef int NTSTATUS; typedef BOOL (__stdcall *ENUMPROCESS
C/C++ 进程模块内存注入[x86/x64]
05-30
Windows R3 无模块注入,x86+x64通用,不支持异常处理,编译前关闭GS安全检查,VS2015所写,并无明显C++特征,兼容性极高
Hook技术:通过Dll注入Hook IAT让计算器显示中文数字(附源码)
weixin_43742894的博客
05-09 3282
计算机的计算器是我们常用的一个小工具(小时候,总是计算机计算器分不开来,哈哈)。 众所周知,计算器在计算的过程中,显示的都是阿拉伯数字,因为阿拉伯数字是一个全世界通用的示方法,那么如何让计算器显示中文数字"一、二、三......"呢? 这里我们就可以使用Dll注入去hook关键API实现**计算器显示中文数字**。
Hook进程IAT
u011569253的博客
05-10 700
这两天研究下IAT的hook,看来很多帖子,也试过很多代码,但是都会遇到一些问题。下面我结合被人的东西还有一些自己修改,写了一个简单的hook IAT。首先自己写一个IAThook,要先对PE有一定的了解,知道IAT做什么的,IAT在PE文件中的位置,当你有了这些知识之后就可以对IAT做hook了。这里我就不对IAT做什么的和PE文件做介绍了。下面介绍一下hook原理,当你要hook一个函数...
R3下远程线程注入/IAT Hook
lixiangminghate的专栏
05-27 1386
先上程序,然后慢慢解释 // remoteIATHook.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include #include #include #include #pragma comment(lib,"user32.lib") #define OPEN
通过WINNT.H定义的结构体,获取进程IAT
enjoy5512的博客
06-02 1197
利用已定义的PE文件结构体获取本进程IAT
驱动层IAT HOOK
MFCJCK的专栏
05-05 1477
还是看雪“新人交流投稿”版块的问题引起的(http://bbs.pediy.com/showthread.php?t=95230)。这次是有人询问sysnap的“学习笔记之钩住驱动程序导入 ”(http://bbs.pediy.com/showthread.php?t=62316)中,为何要使用将驱动文件映像进内存再查找其导入结构,而不是直接使用内存中已有的驱动内容来查找导入。因为Sysna
ImportAdder:输入静态注入工具实战解析
最新发布
weixin_36474001的博客
11-13 878
本文还有配套的精品资源,点击获取 简介:ImportAdder是一个用于在PE文件中静态添加或修改输入的工具,这对于系统级程序开发和逆向工程具有重要意义。工具允许用户添加新的DLL导入、编辑现有的导入,分析PE文件输入,以及辅助调试。通过使用ImportAdder,开发者可以更好地操控PE文件结构,满足特定功能需求或解决库文件兼容性问题。本文将详细介绍ImportAdd...
【逆向】导入注入
fzucaicai的博客
10-24 792
很淦的是,当学到动态链接库的时候尝试过自己用def导出dll文件,当时啥问题都没有,一路畅通,但是很淦的是,昨天却死活导不出,只有dll没有lib文件,导致把dll放到Depend什么东东都没看见。谈谈我的理解,当exe想要调用dll里的函数的时候,首先去导入找对应的函数名或者导出序号,如果IAT有现成的已经绑定好的地址,那么就直接调用,如果没有,则需要通过INT IAT存着的函数名或者导出序号,然后调用GetProcAddress() 函数去导出找对应的函数真实地址,填在IAT,然后调用函数。
Windows中获取线程起始地址
Fly Follow the Heart
05-13 7487
偶尔碰到了一个小需求,要验证一个线程起始于某个模块,可以限制对代码的执行,起始于特定的线程。         线程的起始地址StartAddress,保存在了 _ETHREAD 结构中,无法从Ring3获取。 kd> dt _ethread 80553740 ntdll!_ETHREAD +0x000 Tcb : _KTHREAD +0x1c0 Cre
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值